使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組

若要在 Contributor Insights 中建立規則並查看其結果,使用者必須擁有 cloudwatch:PutInsightRule 許可。根據預設,具有此權限的使用者可以建立 Contributor Insights 規則,以評估 CloudWatch 記錄中的任何記錄群組,然後查看結果。結果可能包含這些日誌群組的參與者資料。

您可以使用條件金鑰建立IAM原則,以授與使用者寫入某些記錄群組 Contributor Insights 規則的權限,同時防止使用者撰寫規則,以及從其他記錄群組查看此資料。

如需有關IAM策略中Condition元素的詳細資訊,請參閱IAMJSON原則元素:條件

僅允許存取特定日誌群組的寫入規則和檢視結果

下列政策允許使用者存取寫入規則,並檢視名為 AllowedLogGroup 的日誌群組和名稱開頭為 AllowedWildCard 的所有日誌群組的結果。它不會授予寫入規則或檢視任何其他日誌群組的規則結果的存取權。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

拒絕特定日誌群組的寫入規則,但允許所有其他日誌群組的寫入規則

下列政策會明確拒絕使用者存取寫入規則,並檢視名為 ExplicitlyDeniedLogGroup 的日誌群組,但允許為所有其他日誌群組的寫入規則和檢視規則結果。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}